Ein digitales Zertifikat ist Teil eines kryptografisch gesicherten Verfahrens mit dessen Hilfe sich der Besitzer des Zertifikats identifizieren kann. Mit Zertifikaten kann man zum Beispiel E-Mails unterschreiben oder sich auf Portalen einloggen - vorausgesetzt das E-Mail-Programm bzw. Portal unterstützt Zertifikate.

Die von uns erstellten Zertifikate bestehen aus einem öffentlichen und einem privaten Teil. Der öffentliche Schlüssel ermöglicht es jedem, Daten für den Inhaber des privaten Schlüssels zu verschlüsseln, dessen digitale Signaturen zu prüfen oder ihn zu authentifizieren. Der private Schlüssel ermöglicht es seinem Inhaber, digitale Signaturen zu erzeugen, sich zu authentisieren oder für ihn verschlüsselte Daten zu entschlüsseln. In der Regel wird der öffentliche Schlüssel nach seiner Erstellung veröffentlicht - z.B. auf einem Key-Server.

Da sich im Prinzip jeder selbst Schlüsselpaare mit fast beliebigem Inhalt erzeugen kann, wird eine weitere Komponente benötigt, um die Identität des Schlüsselbesitzers abschließend sicherzustellen. Hierzu wird der öffentliche Schlüssel des Nutzers von einer Zertifizierungsstelle (CA - Certificate Authority) unterschrieben. Vor der Unterschrift überprüft die zugehörige Registration Authority (RA) die Identität des Nutzers, zum Beispiel anhand des Personalausweises. Die Unterschrift der CA kann in der gleichen Weise mittels des öffentlichen Schlüssels der CA geprüft werden. Die Echtheit der CA selbst wird wieder durch eine Unterschrift der nächst höheren Zertifizierungsinstanz sichergestellt. Dies setzt sich solange fort, bis man das oberste Wurzelzertifikat erreicht hat. Wenn man nun dem Anbieter des Wurzelzertifikats und der Zertifikatkette vertraut, dann kann man einen Nutzer eindeutig identifizieren. Die so entstandene Zertifikatkette wird auch als "Chain of Trust" bezeichnet.

Schutz privater Schlüssel

Wenn nun jemand in den Besitz Ihres privaten Schlüssels gelangt, kann er in Ihrem Namen Mails schreiben oder sich auf Portalen und Servern in Ihren Account einloggen. Daher ist es entscheidend, dass Sie den privaten Teil Ihres Schlüssel möglichst gut schützen.

Zum einen sollten Sie eine gutes Passwort für Ihren Keystore verwenden. Der Keystore ist der Ort, an dem Ihr Schlüssel lokal gespeichert ist. Ohne das Passwort kann niemand den privaten Schlüssel aus dem Keystore entnehmen.

Zum anderen sollten Sie Ihren privaten Schlüssel nur an sicheren Orten speichern - z.B. auf einem nur Ihnen zugänglichen USB-Stick oder besser noch auf einem Crypto-Stick. Öffentlich zugängliche Home-Verzeichnisse, z.B. Unix NFS- oder Windows Active-Directory-Server, sind KEIN guter Ort zum Speichern des Zertifikats. Leider ist es jedoch in der Praxis manchmal nicht vermeidbar, den privaten Schlüssel an einem weniger sicheren Ort zu speichern. Wenn Sie z.B. unsere Pool-Computer und dort den Firefox-Keystore verwenden, dann landen die Schlüssel automatisch in dem NFS-Homeverzeichnis (Linux Pools) oder auf dem Active-Directory-Server (Windows Pools). Um so mehr ist es dann wichtig, dass Sie den Keystore mit einem vernünftigen Passwort absichern.

Sollte trotz aller Vorsichtsmaßnahmen Ihr Zertifikat kompromittiert werden, können Sie Ihr Zertifikat zurückrufen. Dies geschieht in der Regel dort, wo Sie das Zertifikat auch beantragt haben. Die so deaktivierten Zertifikate werden in sogenannten "Certificate Revocation Lists" (CRLs) durch die Zertifizierungsstellen bekannt gegeben. Alle ordentlich konfigurierten Systeme (E-Mail-Programme, Portal-Server, Login-Server) berücksichtigen bei der Überprüfung von Zertifikaten die Einträge der CRLs.

Wenn Sie Ihren privaten Schlüssel verlieren bzw. wenn Sie Ihr Keystore-Passwort vergessen, dann führt das zwingend zum Verlust aller mit Ihrem öffentlichen Zertifikat verschlüsselter Dateien und E-Mails. Sie sollten daher unbedingt ein Backup Ihres privaten und öffentlichen Schlüssels (am besten im pkcs12 Format mit Endung .p12) erstellen, sobald Sie den signierten Teil Ihres Schlüssel importiert haben.

DFN Global und Grid Zertifikate

Unsere Zertifizierungsstelle erstellt im Namen des DFN Vereins (Deutsches-Forschungs-Netz) nur Zertifikate des Typs "Global". Zertifikate des Typs "Grid" können zur Zeit nicht beantragt werden.

Bitte beachten Sie, dass elektronische Unterschriften mittels der von uns erstellten Zertifikate nicht rechtsverbindlich sind.

Die Global-Zertifikate sind in der Regel 3 Jahre gültig (Generation 1 Zertifikate maximal bis Juli 2019) und werden z.B. zum Signieren von E-Mails eingesetzt. Ein entscheidender Vorteil der DFN Global-Zertifikate ist, dass das Wurzelzertifikat ihrer Key-Chain in den meisten Browsern und E-Mail-Programmen bereits enthalten ist. Daher funktioniert die Überprüfung der Sender-Identität in der Regel automatisch. Die Key-Chain der DFN Global-Zertifikate der Generation 1 (bis Juli 2019) stammt von dem "Wurzelzertifikat Deutsche Telekom Root CA 2" ab. Die Key-Chain der DFN Global-Zertifikate der Generation 2 (ab Juli 2019) stammt vom "Wurzelzertifikat T-Telesec Global Root Class 2" ab.